Doe mij eens wat meer van die boetes van 5000 euro

| AE 11637 | Ondernemingsvrijheid | 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit, die aan de boete tevens een berisping koppelde. Het getal van 5000 euro zal misschien wat wenkbrauwen doen fronsen: kon de AVG niet tot 20 miljoen per overtreding aan boetes opleveren? Ja, en toch ben ik erg blij met deze eh microboete. Want dit werkt beter.

In België zijn burgemeester en schepen (wethouden) politieke beroepen. De beboete burgemeester en schepen gebruikten lijsten van burgers uit hun gemeente om ze op te roepen op hen te stemmen. En die lijsten verkregen ze dus via hun ambt, wat strijd oplevert met de doelbinding: gegevens mag je niet voor andere doeleinden inzetten dan waarvoor ze zijn verkregen (behoudens de direct nabij en volkomen logisch aanverwante doelen). Politieke reclame voor jou als persoon heeft natuurlijk niets te maken met je werk als ambtenaar, ook niet als je via verkiezingen op die plek gekomen bent en daar graag weer wilt zitten.

Boetewaardig dus. En stevig ook, in theorie staat daar die 20 miljoen per overtreding op. Maar de Gegevensbeschermingsautoriteit houdt het bescheiden en wel bij 5000 euro per persoon. Dat komt zo te lezen omdat het gaat om een eerste overtreding door privépersonen en een gering aantal persoonsgegevens, hoewel de zaak zo ernstig wordt gezien (het gaat over verkiezingen, dat is de kern van de legitimatie van ons bestuur) dat men er ook nog een publieke reprimande tegenaan gooit. (Die de politieke tegenstanders ongetwijfeld in het verkiezingsdebat gaan aanvoeren.)

Waarom ben ik nou zo blij met 5000 euro? Nou ja, omdat zo’n boete écht afschrikt. Zeg nou zelf, als je weet dat je in privé 20 miljoen moet ophoesten, dan zul je daar weinig wakker van liggen. Dat bedrag lukt toch niet, dus dat spreekt niet tot de verbeelding. Maar 5000 euro kwijt zijn aan een overtreding? Dat is voorstelbaar, doet echt pijn en je kunt je inleven op welke manier. Dat hakt er dus veel meer in – zeker bij de vele kleinere bedrijven dan de clubs waarvoor die 20M als maximale boete in de wet is gezet.

Natuurlijk staat of valt het uiteindelijk met handhaving. Maar ook dan denk ik, juist kleine boetes kun je makkelijker opleggen. Megaboetes hebben de neiging gejuridiseerd te worden. Als je Facebook een boete oplegt, wéét je dat je hoe dan ook vele jaren verder bent totdat het Hof van Justitie van de EU een uitspraak doet, en dan nog. Een mkb-ondernemer die 5000 euro moet aftikken omdat hij een klantenlijst verkocht, die gaat die stappen niet nemen. Die baalt als een stekker, ontslaat zijn marketeer en doet het beter. En zijn collega’s ook.

En het leuke is volgens mij dat juist die handhaving in het klein vaak te automatiseren is. Privacystatements checken of ze wel in eenvoudige taal is, dat kun je met een script. Het verwerkingsregister van een bedrijf opvragen en op trefwoorden controleren (is er een tab Personeelsadministratie, bijvoorbeeld) is ook eenvoudig uit te voeren. Maak dáár nou eens werk van, dan wordt de AVG veel effectiever gehandhaafd.

Arnoud

Wat als ik in het wintertijduur te hard rijd?

| AE 11571 | Regulering | 12 reacties

Een lezer vroeg me:

Gisternacht reed ik om 03:15 (zomertijd) oftewel 02:15 (wintertijd) over de A2 langs een flitspaal. Ik reed keurig 100 maar bedacht me, als ik te hard had gereden dan was ik geflitst en dan had er dus 02:15 op de boete gestaan. Maar om 02:15 (zomertijd) was ik nog op het werk, en daar zijn beelden en logs van (een datacenter). Had ik daarmee dan onder de boete uit gekund?

Leuk geprobeerd, maar nee.

Ik dacht eerst dat het antwoord makkelijk zou zijn: de tijd van de overtreding zal wel in UTC vastgelegd zijn, en dan is corrigeren voor wintertijd triviaal. Maar dat viel dus tegen, want op alle voorbeelden van verkeersboetes die ik kan vinden staat gewoon “02:15” zonder tijdzone-aanduiding. En toen las ik dat in 2013 de trajectcontrole bij de zomertijd misging, de klok werd niet verzet waardoor iedereen foute boetes kreeg. Dus eh, kennelijk is het wel mogelijk, dit theoretisch scenario.

Maar desondanks, nee je komt er niet mee onder de boete uit. Deze specifieke optie kende ik nog niet, maar dat verkeerscontrolesystemen fouten maken met de tijd van de overtreding komt vaker voor. Mensen gaan dan in beroep (Wet Mulder, meestal, maar ook in het strafrecht) en dan wordt de foute tijd aangepast door de officier en gaat de zaak gewoon verder.

Een fout als deze is volgens de leerboekjes een vormfout, de overtreding is immers niet begaan op het tijdstip dat er staat. Maar in de praktijk moet je het als officier wel héél bont maken wil je op een vormfout je zaak verliezen. Zeker als het gaat om triviale details zoals wanneer het feit precies begaan is, tenzij het tijdstip van de overtreding natuurlijk raakt aan de kern.

In geval van een verkeersovertreding als deze is het tijdstip hier niet relevant. Ja, er zijn stukken op de A2 waar de maximumsnelheid tijdsafhankelijk is, maar dan gaat het om 06:00-19:00 en of het nu 01:15, 02:15 of 03:15 was, je zit altijd binnen hetzelfde vak. Er is geen plek op de A2 waar het voor de snelheid van belang is of je er om 01:15, 02:15 of 03:15 reed.

De discussie over tijd wordt pas relevant als het gaat om zo’n tijdvakgrens. Want als je 130 rijdt om 19:02 en het systeem zegt dat je dat deed om 07:02, dan kan dat het verschil maken tussen wel of niet strafbaar zijn (pardon, onderwerp zijn van een administratieve boete, het is bestuursrecht immers). Dat is dus wat er misging in 2013 op de A2, dat zijn onterechte boetes want er was geen strafbaar feit begaan.

Maar dit zijn héél zeldzame situaties. De hoofdregel is en blijft: de tijd deed er niet toe, het gaat erom of het feit begaan is. Dus zelfs als de flitscameraklok werkelijk 100% verkeerd stond en je kunt aantonen dat je op het vermelde tijdstip werkelijk ergens anders was, dan nog krijg je de boete en die moet je gewoon betalen – als je op enig ander tijdstip wel die fout hebt begaan.

Arnoud

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans iets doet met wat mensen zeggen) is dat toch een AVG-overtreding: niet privacy by design, want je kunt niet zien dat je microfoon staat op te nemen.

In juni 2018 kwam in het nieuws dat de Liga (de Spaanse voetbalbond) microfoons van telefooneigenaren met hun app erop had ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zit. Hiermee kan men illegale voetbaluitzendingen detecteren en zo een database opbouwen van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar ondertussen sta je dus wel tienduizenden (of meer) microfoons van mensen te beluisteren.

De algemene voorwaarden vermelden expliciet dat dit gebeurt:

LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.

Ik zei toen, vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. Maar de Spaanse Autoriteit Persoonsgegevens is toch wat strenger: je bent wél bezig met persoonlijke informatie, ook al is het bijvangst in je jacht naar de verborgen piepjes.

En vooral: dit is niet privacy by design, want mensen hebben niet dóór dat je die informatie aan het verzamelen bent. De AV zijn natuurlijk niet relevant, je moet dit duidelijk melden. En dan dus niet een verplichte popup (de standaardkeuze van een geërgerde developer die iets hoort over “je moet X van de wet”) maar nadenken over design, hoe je dit integreert in je app. Een icoontje dat je microfoon aan staat bijvoorbeeld. En zo moeilijk zou dat ook niet hoeven te zijn.

Arnoud

De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

| AE 11321 | Privacy | 16 reacties

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook… Lees verder

Nog meer dingen die van de AVG ineens niet zouden mogen

| AE 10713 | Privacy | 62 reacties

Oh jee, de AVG. Dat begint een beetje een vervelend mantra te worden sinds 25 mei. Omdat de nieuwe privacyverordening zo veel nieuwe regels met zich meebrengt, komt vrijwel iedereen erachter dat dingen anders moeten. En vernieuwing is vervelend, zeker als het op grond van zoiets raars als privacy moet gebeuren. Een greep dus uit… Lees verder

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

| AE 10680 | Ondernemingsvrijheid, Privacy | 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit: Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal? Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te… Lees verder

Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

| AE 9931 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me: Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag… Lees verder

Dutch Filmworks gaat in oktober illegale downloaders opsporen en laten betalen

| AE 9632 | Intellectuele rechten | 94 reacties

Filmdistributeur Dutch Filmworks heeft aangekondigd illegale downloaders van films vanaf oktober op te sporen en te laten betalen via een schikkingsvoorstel. Dat meldde Tweakers vorige week. De filmmaatschappij is al eventjes bezig, onder meer begin deze maand met toestemming van de privacytoezichthouder om IP-adressen aan NAW-gegevens te mogen koppelen van mensen die torrenten. Maar ik… Lees verder

Kabinet heeft geen interesse in Nederlandse boetewet sociale media

| AE 9530 | Uitingsvrijheid | 14 reacties

Het kabinet ziet niks in een nieuwe wet die sociale media beboet bij verspreiding van haatzaaiende berichten, meldde Nu.nl onlangs. Een recent aangenomen Duitse wet zet boetes tot 50 miljoen euro op het doen verspreiden van haatzaaiende, smadelijke of anderszins onrechtmatige inhoud, voor beheerders van social media platforms. Volgens de Nederlandse ministers zou dat weinig… Lees verder

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

| AE 9438 | Innovatie, Privacy | 7 reacties

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege… Lees verder